Comunidad PeruCrack 2015!

Comunidad Informatica PeruCrack! de Informaticos para Informaticos!

Ethical Hacking

Visita la seccion de noticias, guias, videos, y mucho mas relacionado al mundo de la inSeguridad Informatica

Ingresa a las redes sociales de la comunidad

Visita nuestro Facebook oficial, siguenos en twitter y suscribete al canal de Youtube!

Networking

Los mejores tutoriales e informacion sobre redes informaticas. Preparate para tus examenes de certificacion.

Podcast PeruCrack

Escucha las grabaciones de los mejores Podcast de la comunidad.

jueves, 21 de agosto de 2014

Todos los vídeos de la RootedCON 2014

La RootedCON es uno de los eventos de seguridad más importantes para los hispanohablantes, es conocido por todos el gran nivel de estas ponencias. Por eso queremos compartir todo el material de estas ponencias


Una de las primeras premisas fue mantener de forma rígida el principio de neutralidad que ha caracterizado cada una de sus ediciones. En Rooted CON pudieron, pueden y podrán hablar y presentar sus ideas los miembros de la comunidad de seguridad, estudiantes, profesionales, empresas, aficionados, fuerzas del estado, hackers y, por qué no, artistas y académicos.





Otra de las premisas es evitar la censura. Mientras se ciñan a los límites de la legalidad, los contenidos no serán nunca censurados y se presentarán con la  profesionalidad y el rigor necesarios; sabemos que nuestros ponentes son profesionales serios, cuyos contenidos merecen ser tratados con todo el respeto.




Y, por supuesto, dos premisas que en realidad son una misma: promover el conocimiento técnico y asegurarnos de que, en todo momento, haya diversión y se disfrute en un ambiente de animación e intercambio.


AQUI puedes encontrar los videos todas las ponencias de la RootedCON 2014

Si quieres ver los vídeos de ponencias pasadas RootedCON 2013 y RootedCON 2012


Saludos!

Xander

miércoles, 20 de agosto de 2014

Si te hackearon tu Gmail tu recorrido diario puede ser comprometido

Todos sabemos de las ventajas del Google Maps a la hora de buscar algún lugar en nuestra ciudad, o al querer trazar una ruta hacia un punto que no conocemos y que el aplicativo nos indique la mejor ruta para llegar, para todo ello usamos generalmente un dispositivo del cual no nos despegamos casi nunca, Nuestro SmartPhone.




Google sabe donde estamos : 

La sincronizacion de nuestras cuentas de correo con nuestros equipos móviles (En especial los de SO Android) hace que todo lo que hagamos en nuestro equipo sea almacenado en nuestra cuenta de correo (En este caso Gmail) y nuestro recorrido diario (Con ayuda del GPS) no es la excepción





Es por eso que Google trae una opción llamada Location History pueden visitar en enlace desde su navegador y bastara con tan solo iniciar sesion en su cuenta y se visualizara por fechas todo tu recorrido durante el dia, paso a paso y trazo por trazo



Google Maps añade una función para guardar tu historial de ubicaciones a partir de un archivo KML que sólo es legible si tienes Google Earth instalado.


Cosas Buenas Cosas Malas : 

Como es bien sabido por ustedes la tecnología puede ser usada para el bien o para el mal, analizando este tipo de herramienta de Google podemos deducir que puede resultar muy util para el control parental, podemos configurar una cuenta gmail en el dispositivo de nuestros hijos y geo localizar su recorrido diario para un tema de supervision o cuidado, igualmente una empresa quien otorga este dispositivo a sus empleados pude geolocalizarlo en todas sus rutas para saber si es que cumplió o no su recorrido. Sin embargo todo esto también puede ser usado para el mal tanto por personas inescrupulosas quienes deseen cometer un acto de seguimiento paso a paso del recorrido de la persona contando tan solo con el acceso a su cuenta Gmail. Finalmente, debemos entender que depende de nosotros el uso que podamos darle a estas funcionalidades.





No quiero que me rastreen : 

Pese a todo existe la posibilidad de anular este sistema de "Geolocalizacion automatica" de Google  o en su defecto ingesar al Location History y eliminar los registros uno por uno. Para todo ello debemos tomar en cuenta lo siguiente : 

Controlar el acceso a la ubicación :
Esta configuración solo está disponible en dispositivos cuyo sistema operativo esté comprendido entre Android 4.1 y Android 4.3 o versiones inferiores. No está disponible en los dispositivos Nexus con Android 4.4.
Puedes controlar cómo las aplicaciones de Google utilizan tu ubicación con una configuración sencilla. Esta configuración solo controla las aplicaciones de Google. Si la desactivas, es posible que los servicios de Google que no sean aplicaciones y las aplicaciones que no sean de Google continúen recibiendo tu ubicación desde el dispositivo.

Cómo activar o desactivar los Informes de Ubicación mediante Ajustes de Google
Abre Ajustes de Google  desde el menú de aplicaciones de tu dispositivo.
Dispositivos con Android 4.3 o versiones inferiores: Toca Ubicación > Informes de Ubicación.
Dispositivos con Android 4.4: Toca Historial de la cuenta > Historial de Ubicaciones de Google > Informes de Ubicación.
Desliza el control para activar o desactivar la opción.
Para los dispositivos con Android 2.3-3.0, marca la casilla situada junto a "Informes de Ubicación".
Cómo activar o desactivar los Informes de Ubicación mediante el menú "Ubicación" de Ajustes de Google
Esta función está disponible en los dispositivos con Android 4.4.
Abre Ajustes de Google  desde el menú de aplicaciones de tu dispositivo.
Toca Ubicación > Informes de Ubicación de Google > Informes de Ubicación.
Desliza el control para activar o desactivar la opción.
Saludos!

Xander

domingo, 17 de agosto de 2014

Malware, Spam e Ingeniería Social en Facebook

Es sabido por todos el boom actual de las redes sociales, en especial el Facebook, en nuestras vidas por eso casi todos (Y me incluyo) tenemos una cuenta registrada en este tipo de paginas y compartimos gran cantidad de información sobre nuestras vidas (Algunos mas que otros) por lo que es un lugar de mucha concentración de cibernautas los cuales están pendientes cada minuto a que nuevas cosas se están compartiendo. 


Por esta razón este es un sitio muy atractivo para los atacantes quienes buscan cada día la manera de vulnerar una red social como Facebook quien invierte millones de dolares en su protección y no escatima  en gastos cuando de proteger su seguridad se trata, sin embargo llegamos al punto mas vulnerable de todo sistema, el ser humano.  
Veamos algunos ejemplos :



Aplicaciones novedosas en mi Facebook ( "Whatsapp para Facebook" , "1000 Emoticones para tu Facebook ", etc) :



Seguro a mas de uno se le presento alguna vez un aviso de una invitación para usar ciertas aplicaciones que por nuestra ignorancia creemos que son reales, sin embargo no se trata nada mas que de un ataque de spam combinado con iingeniera social. Ejemplos como "Whatsapp para Facebook" , "1000 Emoticones para tu Facebook ", "Hack para Candy Crush", "Mira quien visita tu perfil", etc, etc y un largo etc 




Todo comienza cuando autorizamos el uso de nuestras cuentas a la aplicación sin ni siquiera haber leído los términos y condiciones (Cosa que muchos ni lo ven) entonces en este momento autorizamos a la aplicación fraudulenta a poder publicar en nuestro nombre, le brindamos cordialmente nuestra lista de contactos, le damos permiso de enviar "inbox" a nuestros amigos , etc.





Probablemente en esta parte creamos que la aplicacion ya esta vinculada a nuestra cuenta y tratemos de acceder a la misma, sin embargo obtendremos un mensaje de error debido a que la aplicación no funciona pues no existe : 


En esta parte la supuesta aplicación ya obtuvo nuestro permiso para publicar en nuestro nombre y lo mas probable que para este punto ya lo este haciendo.. comenzara a publicar en nuestros muros / perfiles de amigos y grupos la misma publicidad en la que caímos


Alternativas de Solución a esto : 

Recomiendo verificar constantemente las aplicaciones que tienen acceso a nuestra cuenta y de encontrar alguna que no tiene nada que ver. Para ello recomiendo visitar el siguiente enlace Eliminar una aplicacion de Facebook y posteriormente si es que se trata de una falta aplicacion como la venimos viendo podremos Denunciar una aplicacion a Facebook 



Otra de las aplicaciones que están circulando por Internet son las de falsos vídeos que usando nuevamente Ingeniería Social tratan de atraer nuestra atención para caer en el engaño 



Al ingresar al video nos podrá salir un falso reproductor en donde nos pedira obligatoriamente descargar algún falso aplicativo como el Adobe Flash y otros simplemente nos redireccionaran a paginas con publicidad falta que posteriormente pueden llenar nuestro equipo de malware. Como media de solucion podemos Denunciar este tipo de paginas o a los usuarios que la promueven


Algunas de las recomendaciones que podemos dar :

  1. Mira cuál es el link del video o artículo (debajo del título).
  2. Identifica si es realmente un video o si es una imagen (trata de arrastrar el supuesto video)
  3. No des acceso a tu cuenta de Facebook para ver el video (no, no, no y no!)
  4. Si te causa mucha curiosidad, busca el video en Youtube (un sitio más seguro)
  5. Revisa si algún otro amigo publicó el mismo post/video/link con el mismo comentario sobre este.
  6. Verifica qué aplicación fue la que publicó el video (esquina inferior derecha de la noticia en Facebook)
  7. Pregúntale a la persona que compartió el video si de verdad pudo verlo.
  8. No piensen con la cabeza caliente. No se dejen llevar por impulsos o estímulos.

Saludos!

miércoles, 6 de agosto de 2014

Exprimiendo tu personalidad con Badoo (Y algo de Ingenieria Social)

Exprimiendo tu personalidad con Badoo (Y algo de Ingenieria Social) Recientemente vengo investigando un poco mas sobre temas de Information Gathering (Recopilación de Información) usando una de las herramientas de las cuales ya hemos hablado en ciertas publicaciones como la de Google Hacking y también la poderosa Ingeniería Social podemos darnos cuenta que se puede obtener gran cantidad de información y muchos de los usuarios de la red no son conscientes de ello. Esta informacion puede ser usada por diferentes tipos de personas desde personas con malas intenciones para hacernos algun daño hasta por investigadores o algun personal de RRHH de alguna empresa a la que queramos postular dispuesto a investigarnos por completo antes de una entrevista laboral.




Navegando por Internet y por la PlayStore de Google encontré que Badoo es una de las redes sociales mas grandes (Mas de 5,000,000 de inscritos) y ademas mas libres para conocer gente (Osea todos inicialmente desconocidos para ti) Supuse que seria un gran lugar en donde poder encontrar muchísima información.



Lo primero fue verificar el archivo robots.txt de la pagina para saber que es lo que indexa o no indexa el sitio



Como podemos ver muchos de los robots utilizados ocultan prácticamente lo mismo, sin embargo no ocultan nuestros propios perfiles haciéndolos libres para cualquier Ciberacosador con pequeños conocimientos de informática llegar hacia tu perfil y exprimir de personalidad con tan solo un teclado y un ratón. 

Inicialmente consultaremos perfiles usando algunos de los parámetros del GoogleHacking en este caso buscare perfiles de hombres/mujeres que viven en Lima Perú






Como pueden ver entre ambos tipos de búsqueda podemos obtener cerca de 800,000 resultados entre hombres y mujeres de cualquier edad y que viven en Lima, Perú. En muchos de los casos, estos son los mas peligrosos, muchos se registran con su nombre completo sin saber que con una simple búsqueda se pudo obtener toda esa información. El dork usado se basa en el formato de presentación de cada uno de los perfiles de esta popular red social. "Nombre", "Genero", "Edad"  Ciudad, Pais. 




Dork Usado : 

site:badoo.com intitle:Lima, Perú intitle:Mujer

Haremos un primer ejemplo y veamos que podemos obtener ingresando al perfil de uno/a de ellos :



En este caso es una mujer de 28 años en la cual publica una sola foto sin embargo mediante el método por el que hemos ingresado podemos leer los mensajes que le dejan siendo estos públicos, vamos a enfocarnos en el primer mensaje.


Como podemos ver este mensaje es personal y solo fue enviado a la persona dueña del perfil, sin embargo podemos verla y no solo eso sino que tambien esta persona deja su numero telefonico de contacto y RPM con lo cual con un poco de Ingeniera Social se podrían obtener muchos mas datos.






Usando un poco mas de información proporcionada por el perfil de esta chica de 28 años se pueden obtener muchos mas datos.





Nos hemos adelantado y sin mayor información que la proporcionada en esta red social pudimos obtener que es de profesion enfermera y tambien donde trabaja No solo eso sino que tambien su numero telefónico y de celular. 

En este primer ejemplo pudimos ver como haciendo una búsqueda logramos obtener el perfil de una persona y pasandonos la seguridad de los mensajes internos de esta red social pudimos ver como otros perfiles de personas dejaban su información personal publicada en la red, por lo que podemos concluir que Badoo INDEXA TODO  lo que se comenta, publica, coloca, etc

Vamos mas a fondo y veamos un segundo ejemplo en esta ocasión seguimos en nuestro pais sin embargo vamos a buscar el perfil de un hombre filtramos nuestro dork para que nos muestre perfiles con nombre y apellido.







Como podemos ver al momento de ingresar al perfil nos aparecen algunas fotos ocultas lo que para poder verlas necesitamos registrarnos




Sin embargo podemos pasar esta seguridad agregando la ruta /photos en cada perfil no solo eso sino que también podemos ver los comentarios de cada uno de ellos sin estar totalmente registrados.

badoo.com/iddelperfil/photos





Podemos concluir que podemos saltar la seguridad de registro no solo para ver todas las fotos de los usuarios registrados sino también para ver los comentarios de cada uno de ellos.

Lo mas impresionante que se pudo ver es que muchas de estas fotos no borran los metadatos del todo por lo que si hemos cargado una foto con información suficiente como hora/fecha/localizacion del lugar en donde se tomo la foto puede ser muy peligroso.

Ejemplo 3 :

Creamos un perfil cualquiera y subimos una foto asegurándonos que tenga toda la metadata posible veamos como como es que se veria nuestra foto en esta popular red social




Vemos que Badoo le aplica un filtro especial a las fotos que subimos colocándole una franja con el logo de la marca vemos que pasa si analizamos el codigo fuente de nuestro falso perfil 



Podemos obtener las imágenes subidas y sin filttro con todos les meta datos cargados anteriormente 


Se han omitido algunos metodos de extracción de metadatos, sin embargo el resultado es el mismo usando la herramienta perfecta para este tipo de tareas como Foca Pro (Pueden adquirir el libro dedicado a esta herramienta en nuestra tienda) podemos obtener los metadatos de la geolocalizacion de donde fue tomada la foto.




Son muchos los perfiles que podemos encontrar en esta red social y debido a la información publicada e indexada de Badoo podemos llegar a obtener muchos mas datos de los creemos con solo el Nombre



Se podría programar un plugin incluso que automaticamente encuentre sus perfiles en otras redes sociales usando lo minimo, su nombre y edad. Aqui tenemos el perfil de esta misma chica en Facebook. Por seguridad no vamos revelar los metodos pero se sabe que trabaja en el Banco Interbank, Estudia Psicologia en una Universidad Particular de nuestro pais



Incluso se pueden obtener datos muy personales, en un enlace publicado y buscando los datos "publicos" en esta red social se obtuvo una lista publicada en un blog donde indican datos familiares de todas las generaciones de esta familia




Se pueden usar ciertos términos adicionales en la busqueda de perfiles para ser mas exactos como 
"Mi telefono es"

site:badoo.com intitle:hombre "Lima, Perú" "Telefono es"



o usar muchos términos adicionales mas y darnos cuenta que todo absolutamente todo lo que publicamos en Internet de una u otra manera es publico.


En conclusión podemos ver que una red social tan grande como esta y como en muchas otras redes sociales es un peligro publicar nuestros datos personales en primer lugar porque colocamos información muy privada (Direcciones, Telefonos, Familiares, Localizaciones, etc) lo cual puede ser usada por personas mal intencionadas para chantajear, extorsionar, engañar, etc. En segundo lugar toda esta información tarde o temprano saldra a la luz pongamonos en el supuesto que un personal de RRHH se ponga a investigarnos antes de una entrevista laboral en tan solo unos minutos podría obtener muchos datos de nuestra personalidad tan solo usando como herramienta la internet, lo que a cualquier psicologo le tomaría dias.





Debemos ser conscientes de lo que se publica en internet ya que estamos exponiendo información personal muy importante, estamos exponiendo nuestras vidas.


domingo, 3 de agosto de 2014

Iniciando en Python : Aplicacion para Informatica Forense

Hace unos días me entro nuevamente el bichito de querer programar y automatizar algún proceso usando Python por lo que justo recibí el Inbox por Facebook de un amigo en el que me preguntaba sobre algunas librerias en Python que ayude en el proceso de extracción de datos de un determinado equipo para la aplicación de un análisis forense muy simple e investigando encontré unas librerias interesantes y me puse a programar un script en python capaz de extraer esta información (Y algo mas..)





Codigo :


#!/usr/bin/env python
# -*- coding: utf-8 -*-
import time
import os
import platform
from PIL import ImageGrab

def guardar(algo, algomas = "<-- Info del sistema"):
     d3 = open('DatosdelSistema.doc', 'a+')
     d4 = str(algo + algomas)
     d3.writelines(d4 + """
""")
     d3.close()
print "Verificando los datos del Sistema"
d0 =  platform.uname()
da =  str(d0)
guardar(da)
print "Datos guardados"
print ""
print "Indicar la ruta de los archivos que desees listar - Indica el formato de archivos que desees listar, En blanco para listar todos"
d1 = raw_input("Ruta: ")
d2 = raw_input("Tipo de archivo: ")
for root, dirs, files in os.walk(d1):
     for item in files:
         if item.endswith(d2):
             guardar(root,item)
print "Tamando un pantallazo en 10 segundos - Minimizar todo."
time.sleep(10)
ImageGrab.grab().save("screen_capture.jpg", "JPEG")





OS: Nos permite hacer una lista de directorios
Platform: Nos permite extraer detalles y datos del sistema en el que nos encontremos






Adicional :
PIL : Nos permitira tomar las capturas de pantalla del escritorio cuando queramos Es una libreria adicional por lo que necesitaremos descargarla

Pueden descargar el codigo y probarlo, si desean modificarlo pueden hacerlo